CSRF-Cookie | DSVGO
Hallo,
ein DSGVO-Experte hat die Webseite eines Kunden überprüft: www.aytex.de <http://www.aytex.de/>
Ergebnis der Überprüfung: Beim CSRF-Cookie > csrf_https-contao_csrf_token ist gem. der Anforderung nach § 25 TTDSG zu bewerten, ob hier überhaupt eine entsprechende
Erforderlichkeit für den Einsatz des CSRF-Cookies vorliegt. Dies ist nicht der Fall, da es sich bei dem CSRF-Cookie Token um ein Sicherheits-Cookie handelt, welches die Datenübertragung sichern soll.
Für den Betrieb der Internetseite ist dieser nicht technisch zwingend notwendige, selbst wenn aus einem Sicherheitsgedanken heraus angewendet wird.
Wird der CSRF-Cookie auf der Webseite anlasslos erzeugt, genauer gesagt gesetzt, also bei jedem Seiten-Besucher / Aufruf der Webseite, liegt damit ein Verstoß gegen § 25 TTDSG vor.
Es ist technisch nicht notwendig und zum Erkennen etwaige CSRF-Attacken bedarf es keinen CSRF-Token auf der Webseite für unangemeldete / nicht registrierte Besucher, die die Webseite aufrufen.
Frage 1: Wie kann der CSRF-Cookie beim Aufruf der Webseite deaktiviert werden?
Frage 2: Kann das CSRF-Cookie auf der Kontaktseite beim Absenden der Nachricht aktiviert werden?
- Forum
- Was ist neu?
-
Contao News
-
Contao Links
- Contao Projektwebsite (contao.org)
- Contao Association (offizieller Verein)
- Contao Check (Diagnose)
- Contao-Fehler melden (Bug Tracker)
- Contao Erweiterungsliste (ER)
- Contao Release-Plan
- Alte Contao-Versionen herunterladen
- Offizielle Contao Dokumentation
- Contao für Redakteure (Handbuch für Contao 2.x)
- Contao Community Documentation (Wiki, Fanprojekt)
- Contao Community Alliance (CCA, Fanprojekt)
- Contao Community (English)
- Contao Community (Français)
- Contao Community (Polskie)
- Contao Slack Workspace
- Contao Google-Suche
- Forenregeln
- Impressum
Lesezeichen